티스토리 뷰
무차별대입공격에 대한 방어, 로그인에 대한 Multi-factor 인증이나 2차 인증 구현, 안전한 비밀번호 생성 정책 등의 내용이 들어 있는 "보안 프로젝트"가 있어 소개하고자 한다. 웹 어플리케이션을 개발하면서 고려해야 하는 보안상의 취약점을 정리하는 내용이기도 한데, 바로 OWASP 이다.
[OWASP 소개]
OWASP란 'The Open Web Application Security Project'의 약어로 '오픈소스 웹 어플리케이션 보안 프로젝트'이며 주로 웹에 대한 정보 노출, 악성 파일 및 스크립트, 보안 취약점 등을 연구하는 프로젝트 이름 겸 비영리 보안 프로젝트 재단을 통칭하는 약자이다.
해당 OWASP Top 10 목록은 2001년 12월 1일에 OWASP 재단으로 발족한 이후, 2004년부터 현재까지 3~4년 주기로 정기적으로 업데이트가 되는데, 주로 웹에 관한 취약점 중에서 빈도, 위협 등을 기준으로 영향력 있는 취약점 TOP10을 선정하여 발표하는 프로젝트이며, 국내외 여러 기관 및 기업에서 애플리케이션을 개발하거나 보안성 검토 기준을 수립할 때 많이 참고하고 있다.
여기 글에서는 2013년, 2017년에 해당되는 내용을 간단히 소개하고, 메인으로는 2021년에 업데이트된 내용에 대하여 소개해보려고 한다.
참조) https://owasp.org/www-project-top-ten/
[2013년도와 2017년도 OWASP TOP 10 비교]
OWASP TOP 10 (2017)란?
> 소개1
> 소개2
> 2017년에 A7, A10이 새롭게 추가되었고, 2013년도의 A4, A7이 합쳐져서 2017년도의 A5가 되었다.
[OWASP TOP 10 2021 개정사항]
2021년 9월 24일에 발표한 ‘OWASP Top 10 2021’에는 신규 3개 항목이 추가됐으며, 기존 3개 항목은 다른 항목에 병합되는 등 새롭게 개정된 내용이 있었다.
2021년도에 발표된 초안의 경우 전체 취약점의 약 1/5을 차지하고 그동안 계속해서 상위권에 이름을 올렸던 XSS 취약점이 사라진 사실이 가장 충격적이다. 하지만 사라진 게 아니라 ‘주입(Injection) 오류’라는 항목에 포함되는 식으로 재분류가 된 것이다. XSS 공격은 여전히 가장 빈번한 취약점 중 하나다.
2021 버전에 새롭게 추가된 취약점 항목들도 눈에 띈다. 아래 항목들은 조직마다 상황이 다르다고 해도 참고해볼 만하다.
- 그중 하나는 ‘불안전한 설계(Insecure Design)’라는 항목으로 처음 등장했음에도 4위에 이름을 올렸다.
- 1~3위를 차지한 위협들은 순서대로 ‘잘못된 접근 제어’, ‘암호화 오류’, ‘주입 오류’다.
- ‘잘못된 접근 제어’와 ‘주입 오류’는 애플리케이션 실험에서 가장 빈번하게 나타나는 위협이고
- ‘암호화 오류’는 조직들이 가장 많이 간과하는 오류 중 하나이며 심각한 데이터 침해 사건으로 이어질 가능성이 높다
- ‘주입 오류’는 2017년에 발표된 OWASP Top 10 목록에서는 1위를 차지했었다.
- 당시에는 주입 오류의 범위가 좁아 XSS를 포함하지 않고 있었다.
- 당시 3위였던 ‘민감 정보 노출’은 올해 ‘암호화 오류’의 일종으로서 새롭게 분류됐다.
- 당시 2위였던 건 ‘잘못된 인증 원리’였는데, 이번에는 7위에 배치됐다. 이름은 ‘식별 및 인증 실패’로 바뀌었다.
우선 2017년도와 비교했을때의 큰 변화는 아래와 같다. Injection이 왕좌를 내려놓고 3위로 물러났으며 왕좌는 Broken Access Control이 차지했다. XSS가 단일항목에서 Injection으로 흡수되었다. XXE가 단일항목에서 Security Misconfiguration으로 흡수되었다. Insecure Deserialization이 단일항목에서 Software and Data Integrity Failure로 흡수되었다. 물론 순위가 높을수록 웹 환경에 보다 자주 등장하는 취약점이긴 하지만 Top 10에 속할 정도면 1위든 10위든 한 결 같이 중요하다는 게 보안 전문가들의 설명이다. |
정리1) 신규 항목으로 3항목 추가 Insecure Design(안전하지 않은 설계), Software and Data Integrity Failures(소프트웨어 및 데이터 무결성 오류), Server-Side Request Forgery(서버 측 요청 변조) |
정리2) 기존 항목 중 병합된 항목 XML External Entities(XXE)와 Cross-Site Scripting(XSS)는 Injection(인젝션)에, Insecure Deserialization(안전하지 않은 역직렬화)은 Software and Data Integrity Failures(소프트웨어 및 데이터 무결성 오류)에 병합 |
- 다음 : [OWASP TOP 10 2021 목록 A1 ~ A4] -
'정보보안.Security' 카테고리의 다른 글
[리눅스][초보][보안][무차별대입공격][OWASP TOP10 취약점대응2] (0) | 2023.01.18 |
---|---|
[리눅스][초보][보안][무차별대입공격과 OWASP TOP10 취약점 대응내용] (2) | 2023.01.05 |
[리눅스][초보][보안][무차별대입공격 방어와 대응책] (0) | 2023.01.04 |
[리눅스][초보][보안][무차별대입공격유형] (1) | 2022.12.31 |
[리눅스][초보][보안][무차별대입공격 원리] (1) | 2022.12.30 |